|
|
| Zeile 48: |
Zeile 48: |
|
| |
|
| = Wikipedia = | | = Wikipedia = |
| Das '''Common Vulnerability Scoring System''' ('''CVSS''', deutsch: „Allgemeines Bewertungssystem für Schwachstellen“), ist ein [[Industriestandard]] zur Bewertung des Schweregrades von möglichen oder tatsächlichen [[Sicherheitslücke (Software)|Sicherheitslücken]] in [[Computer]]-Systemen.
| |
| * Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metrics]], bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.
| |
| * CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen<ref name="faq"> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/faq/ |wayback=20110308031727 }}</ref>.
| |
| * Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden<ref>{{Literatur |Titel=CVSS rating for Meltdown and Spectre |Datum=2018-01-08 |Online=https://community.isc2.org/t5/Ask-ISC/CVSS-rating-for-Meltdown-and-Spectre/td-p/4955 |Abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://www.suse.com/de-de/security/cve/CVE-2017-5753/ |titel=CVE-2017-5753 {{!}} SUSE |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://access.redhat.com/security/cve/cve-2017-5753 |titel=CVE-2017-5753 - Red Hat Customer Portal |zugriff=2018-05-16 |sprache=en}}</ref><ref>{{Internetquelle |url=https://exchange.xforce.ibmcloud.com/vulnerabilities/137052 |titel=Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://nvd.nist.gov/vuln/detail/CVE-2017-5753 |titel=NVD - CVE-2017-5753 |zugriff=2018-05-16}}</ref>.
| |
|
| |
| CVSS wurde 2005 vom ''National Infrastructure Advisory Council'' (NIAC), einer Arbeitsgruppe des US-[[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministeriums für Innere Sicherheit]], in Auftrag gegeben<ref name="faq" /> und wird derzeit durch das ''Forum of Incident Response and Security Teams''<ref>http://www.first.org/cvss</ref> betreut.
| |
| * Den derzeitigen Vorsitz der Arbeitsgruppe ''CVSS-SIG team'' hat David Ahmad von [[NortonLifeLock|Symantec]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/team/ |wayback=20101122145130 }}</ref> In die Entwicklung von CVSS sind eingebunden: [[CERT]], [[Cisco]], [[Department of Homeland Security|DHS]]/[[Mitre Corporation|MITRE]], [[eBay]], [[IBM]], [[Microsoft]], [[Qualys]], Symantec.<ref name="faq" /> CVSS wird ferner unterstützt von [[Hewlett-Packard|HP]], [[McAfee]], [[Oracle]], und [[Skype]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/eadopters.html |wayback=20110325172518 }}</ref> Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.
| |
| * Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.<ref>https://www.first.org/cvss/specification-document#i5</ref>
| |
|
| |
| == Siehe auch == | | == Siehe auch == |
| * [[Common Criteria for Information Technology Security Evaluation]] (IEC, ISO) | | * [[Common Criteria for Information Technology Security Evaluation]] (IEC, ISO) |